高频的HVV面试题梳理 (1)信息安全资料.docxVIP

高频的HVV面试题梳理

XSS、CSRF、XXE的原理

XSS它是跨站脚本攻击，用户提交的数据中可以构造代码来执行，从而实现窃取用户信息等攻击。

XSS修复方式：对字符实体进行转义、使用HTTPOnly来禁止JavaScript读取Cookie值、输入时校验、浏览器与Web应用端采用相同的字符编码。

CSRF它是跨站请求伪造攻击，XSS是实现CSRF的诸多手段中的一种，它是由于没有在关键操作执行时进行是否由用户自愿发起的确认。

CSRF修复方式：筛选出需要防范CSRF的页面然后嵌入Token、再次输入密码、检验Referer。

XXE是XML外部实体注入攻击，XML中可以通过调用实体来请求